GitHub hat eine Sicherheitslücke offengelegt, die den Zugriff auf den Inhalt von Umgebungsvariablen ermöglicht, die in Containern bereitgestellt werden, die in der Produktionsinfrastruktur verwendet werden. Die Schwachstelle wurde von einem Bug-Bounty-Teilnehmer entdeckt, der eine Belohnung für das Auffinden von Sicherheitsproblemen wollte. Das Problem betrifft sowohl den GitHub.com-Dienst als auch die GitHub Enterprise Server (GHES)-Konfigurationen, die auf Benutzersystemen ausgeführt werden.
Die Analyse der Protokolle und die Prüfung der Infrastruktur ergaben keine Spuren einer Ausnutzung der Schwachstelle in der Vergangenheit, abgesehen von der Aktivität des Forschers, der das Problem gemeldet hat. Die Infrastruktur wurde jedoch initiiert, um alle Verschlüsselungsschlüssel und Anmeldeinformationen zu ersetzen, die potenziell gefährdet sein könnten, wenn die Schwachstelle von einem Angreifer ausgenutzt würde. Der Austausch interner Schlüssel führte vom 27. bis 29. Dezember zu Unterbrechungen einiger Dienste. GitHub-Administratoren versuchten, die Fehler zu berücksichtigen, die gestern bei der Aktualisierung von Schlüsseln für Clients gemacht wurden.
Unter anderem wurde der GPG-Schlüssel aktualisiert, der zum digitalen Signieren von Commits verwendet wird, die über den GitHub-Webeditor beim Akzeptieren von Pull-Anfragen auf der Website oder über das Codespace-Toolkit erstellt wurden. Der alte Schlüssel verlor am 16. Januar um 23:23 Uhr Moskauer Zeit seine Gültigkeit, seit gestern wird stattdessen ein neuer Schlüssel verwendet. Ab dem XNUMX. Januar werden alle neuen Commits, die mit dem vorherigen Schlüssel signiert wurden, auf GitHub nicht mehr als verifiziert markiert.
Am 16. Januar wurden auch die öffentlichen Schlüssel aktualisiert, die zum Verschlüsseln von Benutzerdaten verwendet werden, die über die API an GitHub Actions, GitHub Codespaces und Dependabot gesendet werden. Benutzern, die öffentliche Schlüssel von GitHub verwenden, um Commits lokal zu überprüfen und Daten während der Übertragung zu verschlüsseln, wird empfohlen, sicherzustellen, dass sie ihre GitHub-GPG-Schlüssel aktualisiert haben, damit ihre Systeme nach der Schlüsseländerung weiterhin funktionieren.
GitHub hat die Schwachstelle auf GitHub.com bereits behoben und ein Produktupdate für GHES 3.8.13, 3.9.8, 3.10.5 und 3.11.3 veröffentlicht, das einen Fix für CVE-2024-0200 (unsichere Verwendung von Reflections, die dazu führt) enthält Codeausführung oder benutzergesteuerte Methoden auf der Serverseite). Ein Angriff auf lokale GHES-Installationen könnte durchgeführt werden, wenn der Angreifer über ein Konto mit Organisationsinhaberrechten verfügt.
Source: opennet.ru